ID do boletim
Última atualização em
28 de mar de 2023
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB23-18
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB23-18 |
14 de março de 2023 |
3 |
Resumo
Adobe lançou atualizações para o Adobe Experience Manager (AEM). Essas atualizações resolvem vulnerabilidades de classificação importante e moderada. A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução arbitrária de código, escalonamento de privilégios e em falha de recursos de segurança.
Versões do produto afetado
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos |
| 6.5.15.0 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versão 2023.1 |
Todos | 3 | Notas de versão |
| 6.5.16.0 |
Todos |
3 |
Notas de versão do AEM 6.5 Service Pack |
Observação:
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
Observação:
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Criação de script entre sites (XSS Refletido) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22252 |
|
Criação de script entre sites (XSS Refletido) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22253 |
|
Criação de script entre sites (XSS Refletido) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22254 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22256 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22257 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22258 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22259 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22260 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22261 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22262 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22263 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22264 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22265 |
|
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22266 |
|
Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22269 |
|
Criptografia fraca para senhas (CWE-261) |
Escalonamento de privilégio |
Importante |
5.3 |
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22271 |
|
Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-21615 |
|
Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-21616 |
Observação:
Se um cliente estiver usando o Apache httpd em um proxy com uma configuração sem padrão, ele poderá ser impactado pelo CVE-2023-25690 — leia mais aqui: https://httpd.apache.org/security/vulnerabilities_24.html
Observação:
Se um cliente estiver usando o Apache httpd em um proxy com uma configuração sem padrão, ele pode ser impactado pelo CVE-2023-25690 — leia mais aqui: https://httpd.apache.org/security/vulnerabilities_24.html
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Jim Green (green-jam) -- CVE-2023-22252, CVE-2023-22253, CVE-2023-22254, CVE-2023-22256, CVE-2023-22257, CVE-2023-22258, CVE-2023-22259, CVE-2023-22260, CVE-2023-22261, CVE-2023-22262, CVE-2023-22263, CVE-2023-22264, CVE-2023-22265, CVE-2023-22266, CVE-2023-22269, CVE-2023-22271, CVE-2023-21615, CVE-2023-21616
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
